Die Ransomware "WannaCry" – Bleiben Sie mit WSUS & Automatisierung auf dem neuestem Stand

Die Angriffe der Ransomware “WannaCry” in dieser Woche haben erneut deutlich gemacht, wie wichtig Software-Updates für Organisationen sind. Eine Lösung liegt freilich auf der Hand: “BLEIBEN SIE UP TO DATE”. Ganz so einfach ist es jedoch nicht. WSUS hilft; WSUS zu automatisieren hilft noch mehr. Ich möchte kurz darauf eingehen, was WSUS ist und inwiefern es helfen kann, wenn man es automatisiert, aber wir wollen zuvor einmal schauen, was genau rund um die Welt passiert ist und warum…

Der Angriff begann in der letzten Woche und verbreitet sich seither wie ein Virus. Das Virus installiert sich selbsttätig auf Windows-Maschinen, nachdem ein User ausgetrickst wurde und dazu verleitet worden ist, einen E-Mail-Anhang zu öffnen oder auf einen Link zu klicken. Von diesem Zeitpunkt an übernimmt es die Kontrolle über den Rechner, verschlüsselt Dateien, sperrt den Nutzer aus, fordert eine Lösegeldzahlung in Höhe von etwa 500 US-Dollar, zu bezahlen in Bitcoins, und verteilt sich dann weiter auf andere Computer im Netzwerk. Insgesamt hat es Erpressungsversuche auf beinahe 300.000 Rechnern in über 150 Ländern gegeben. Unter den Opfern befinden sich einige große Namen wie der britische National Health Service, Nissan Motors, FedEx, China National Petroleum, Renault SA, Deutsche Bahn und Hitachi.

DIE ANZEIGE VON WANNACRY

Das alles hätte durch ein einfaches System-Update verhindert werden können. Ja, diese kleine Benachrichtigung, die immer unten rechts auf Ihrem Bildschirm erscheint – vielleicht gerade jetzt. Diese anzuklicken und ein paar Minuten zu warten hätte die meisten Rechner retten können. Die meisten, aber nicht alle. Die Sicherheitslücke, die ausgenutzt wurde, befand sich in Windows und wurde bereits im März “gepatcht”, jedoch nur für derzeit unterstützte Betriebssysteme. Ältere Versionen wie Windows XP und Server 2003 blieben außen vor und weiterhin verwundbar, doch überraschenderweise gab Microsoft am Freitag auch Sicherheitsupdates für viele ältere Versionen heraus.

Was können Organisationen also tun, um diese Art von Angriffen künftig zu verhindern?

Es wird wieder passieren, das ist unausweichlich. Aber wir können etwas dagegen tun. Als erstes ist die Aufklärung zu nennen. Ja, es gibt weiterhin eine Reihe XP- und anderer gefährdeter Systeme, doch die Schulung von Mitarbeitern bei der Erkennung von Social-Engineering-Angriffen kann selbst die Unternehmen schützen, die noch immer angreifbare Systeme betreiben. Angriffskonzepte wie Vishing, Pretexting, Baiting, Whale Hunting, Phishing usw. zu erläutern hilft Mitarbeitern eine überlegte Entscheidung zu treffen, wenn es um E-Mail-Anhänge, ungewöhnlichen Anfragen oder unsichere Links geht.

Es wird wieder passieren, das ist unausweichlich. Aber wir können etwas dagegen tun.Parag Gadgil
Einen weiteren wichtigen Punkt habe ich zu Beginn dieses Artikels bereits angesprochen. Einfach ausgedrückt: “Bleiben Sie up to date”. Das klingt für die Öffentlichkeit sehr einfach. Aber jeder in der IT-Welt weiß, dass die Dinge nicht so einfach sind. Manchmal sind bestimmte Updates inkompatibel mit Anwendungen, die auf den Rechnern laufen. Manchmal befinden sich die Systeme mitten in einer wichtigen Jobverarbeitung, oder vielleicht wird die Maschine nur für ganz bestimmte Zwecke hochgefahren, und sie extra online zu bringen, um dann upgedatet zu werden, erfordert freie Zeit – freie Zeit, die viele von uns nicht haben. Aus welchen Gründen auch immer, Windows stellt seit vielen Jahren ein sehr nützliches Werkzeug bereit: WSUS Windows Server Update Services.

Diese Sorte Angriffe sind zweifellos unheimlich. Doch es ist nicht das Geld, welches die Hacker verlangen, das großen Organisationen Angst einjagt, sondern es sind die Unterbrechungen des Betriebs und die Datenverluste, die unermesslichen Schaden anrichten. Zum Glück gibt es ein paar Maßnahmen, die wir dagegen ergreifen können. Techniken des Social Engineering zu verstehen und stets auf neuestem Stand zu bleiben ist ein Doppelschlag, der die Risiken für jede Organisation mindert. Werkzeuge wie WSUS und Lösungen zur Automatisierung von Arbeitsabläufen machen das Leben für uns Administratoren sehr viel einfacher – und den Hackern das ihre sehr viel schwerer.

Und dies ist das primäre Werkzeug, das Windows-Administratoren verwenden, um Rechner auf dem letzten Stand und vor dieser Sorte Angriffen geschützt zu halten. Doch es kann NOCH leistungsfähiger werden, wenn Sie sich überlegen, WSUS in die Arbeitsabläufe Ihrer Automatisierung einzubinden. Ein gutes Automatisierungsprodukt integriert WSUS, um Dinge wie Updates zu tracken, Logs einzulesen, Fehlercodes zu erkennen und je nachdem, wie die Ergebnisse ausfallen, verschiedene Prozesse anzustoßen. Lassen Sie mich ein paar Beispiele nennen. Wenn WSUS in die Automatisierung eingebunden ist, können Sie Ihre Updates zeitlich planen und mit Ihrer nächsten Aufgabe weitermachen. Sie müssen nicht auf WSUS aufpassen, ob Fehler auftreten oder Bestätigungen erfolgen müssen, denn Ihr Automatisierungswerkzeug sollte in der Lage sein, Sie zu benachrichtigen, wenn etwas schiefgeht – oder eben auch, wenn alles klappt. Was ist mit dem Update eines Rechners oder einer virtuellen Maschine, die nicht permanent läuft? Falls WSUS in einem Unternehmen Teil der Automatisierungsstruktur ist, könnten Sie einfach einen Workflow einrichten, der den Status des Rechners prüft und ihn sogar starten kann, wenn Ihr System erkennt, dass er nicht in Betrieb ist. Dann kann der WSUS-Prozess für das Update starten. Wenn dieser beendet ist, kann Ihre Automatisierungslösung die Maschine wieder herunterfahren lassen, ohne dass mehr als ein Klick erforderlich ist. Zum Schluss wollen wir noch über Fertigungs- und Verarbeitungsmaschinen sprechen. Verknüpfen Sie WSUS mit Ihrem Automatisierungswerkzeug und überprüfen Sie jeden Server auf kritische Prozesse, bevor Sie zulassen, dass ein Update stattfindet. Man könnte einfache Zeitschleifen einbauen wie etwa “Versuche es in 30 Minuten erneut”, falls Ihre Automatisierungslösung bemerkt, dass ein Arbeitsablauf im Gange ist. Setzen Sie einen Zähler mit einer Benachrichtigung dazu, für den Fall, dass die Verarbeitung nie beendet wird; dies ist ein einfacher Weg, versehentliche Betriebsunterbrechungen zu unterbinden. Es schafft auch die Notwendigkeit ab, Maschinenprozesse vor jedem Update von Hand zu überwachen.

About the Author
blank

Parag Gadgil

Ich bin Software-Ingenieur bei SMA Solutions und fokussiere mich auf die Windows-Plattform. Unsere Lösung OpCon kann Windows, Windows Server, Orchestrator, Dynamics AX, WSUS und weitere in die Automatisierungsstruktur Ihrer Organisation einbinden. Wenn Sie mehr erfahren wollen, schicken Sie mir eine Nachricht oder rufen Sie uns an.

Sources:
http://www.sandiegouniontribune.com/opinion/the-conversation/sd-5-facts-global-ransomware-cyberattack-wannacry-20170515-htmlstory.html
http://time.com/4779750/wannacry-ransomware-patch-windows-cybersecurity/
https://technet.microsoft.com/en-us/windows